Państwo trzecie czyli kto?
Zgodnie z RODO, przekazanie danych osobowych do państwa trzeciego możliwe jest pod warunkiem spełnienia wymogów określonych w jego rozdziale V. Państwem trzecim – w rozumieniu RODO – jest zatem państwo, które nie należy do Europejskiego Obszaru Gospodarczego. Administrator z Polski, który dokonuje transferu danych za granicę musi zatem w pierwszej kolejności ustalić, czy dane te trafiają do kraju, który należy do EOG.
Jak to zrobić?
W pierwszej kolejności przekazanie danych osobowych do państwa trzeciego jest dopuszczalne, gdy KE stwierdzi w drodze decyzji, że określone państwo trzecie zapewnia odpowiedni stopień ochrony, jak np. Szwajcaria, Kanada czy Argentyna. Jednak co się dzieje w sytuacji, gdy wobec państwa, które nas interesuje nie została wydana decyzja? W takim przypadku trzeba posłużyć się innymi mechanizmami.
Prawnie wiążący i egzekwowalny instrument
To rozwiązanie nie jest przewidziane dla podmiotów z sektora prywatnego. Mówiąc najprościej, w tym przypadku chodzi o oparcie transferu na instrumentach prawnych, których umocowanie wynika wprost z przepisów prawa.
Wiążące reguły korporacyjne
Wiążące reguły korporacyjne, czyli tzw. BCR’y (Binding Corporate Rules), to rozwiązanie umożliwiające legalny transfer w ramach grup przedsiębiorstw lub przedsiębiorców prowadzących wspólną działalność gospodarczą. W założeniu polega ono na tym, że międzynarodowe koncerny tworzą polityki ochrony danych osobowych, w których regulują wszystkie podstawowe zasady i prawa gwarantujące odpowiednie zabezpieczenia. Następnie, wdrażane są one we wszystkich spółkach z grupy, zarówno tych z obszaru EOG, jak i z państw trzecich. Rozwiązanie to ma pewne wady, które powodują, że jest ono dość trudne do wprowadzenia. Z jednej strony, projekt wiążących reguł korporacyjnych tworzony jest wyłącznie przez podmioty, które planują oprzeć na nich swoje transfery danych. Z drugiej natomiast, dokument ten musi zostać zatwierdzony przez właściwy organ nadzorczy, zgodnie z przewidzianym w RODO mechanizmem spójności.
Standardowe klauzule ochrony danych przyjęte przez KE
Jednym z najbardziej popularnych i najczęściej wykorzystywanych narzędzi, umożliwiających legalny transfer danych do państwa trzeciego są tzw. standardowe klauzule umowne, przyjęte przez KE. W założeniu jest to dość proste rozwiązanie. KE przyjmuje decyzję, w której znajdują się gotowe klauzule umowne, a następnie podmioty transferujące dane osobowe wykorzystują te klauzule w umowach z podmiotami z państw trzecich. W ten sposób ci ostatni zobowiązują się do stosowania mechanizmów gwarantujących bezpieczeństwo przetwarzanych danych osobowych, a w konsekwencji transfer może zostać uznany za legalny.
Co ważne, datą graniczną dla tej podstawy transferu jest 27 grudnia br. Do tego dnia bowiem musimy aneksować wszystkie umowy zawierające poprzednie klauzule umowne.
Standardowe klauzule ochrony danych przyjęte przez organ nadzorczy i zatwierdzone przez KE
Narzędzie to nie różni się w znaczący sposób od tego przedstawionego powyżej. Różnica polega na tym, że treść poszczególnych klauzul umownych projektuje i przyjmuje organ nadzorczy, zaś rolą KE jest jedynie ich zatwierdzenie. W praktyce może być ono bardzo przydane. Dla administratorów z Polski nie mamy jednak dobrych wiadomości. UODO nie przyjął jeszcze tego typu rozwiązań, nie mówiąc już o zatwierdzeniu ich przez KE.
Zatwierdzony kodeks postępowania
Przedstawiciele określonej branży tworzą kodeks postępowania, a w jego treści umieszczają stosowne rozwiązania dotyczące transferu danych osobowych do państwa trzeciego. Właściwy organ nadzorczy – w naszym przypadku Prezes UODO – zatwierdza kodeks, a następnie akredytuje tzw. podmiot monitorujący. W następnej kolejności, partnerzy biznesowi z państwa trzeciego wdrażają postanowienia kodeksu u siebie, co w założeniu powinno oznaczać, że transfer można uznać za legalny.
Związek pracodawców Organizacja Firm Badania Opinii i Rynku wraz z Kancelarią Osiej i Partnerzy oraz Omni Modo opracowały Kodeks RODO dla branży badawczej.
Mechanizm certyfikacji
Co do zasady, podobnym rozwiązaniem umożliwiającym zalegalizowanie transferu danych do państwa trzeciego jest zatwierdzony mechanizm certyfikacji. Niestety, aktualnie nie da się skorzystać z tego narzędzia. UODO nie prowadzi prac nad mechanizmem certyfikacji.
Klauzule umowne stworzone przez strony transferu
Unijny prawodawca przewidział w RODO jeszcze inny typ klauzul umownych, umożliwiających zalegalizowanie przekazywania danych do państwa trzeciego. Są to rozwiązania, które strony transferu tworzą samodzielnie i włączają do łączącej je umowy. Wydaje się jednak, że nieliczni administratorzy (lub inne podmioty transferujące dane) będą chcieli skorzystać z tej możliwości. Zasadniczym utrudnieniem jest bowiem konieczność uzyskania od właściwego organu nadzorczego stosownego zezwolenia. Wynika to z faktu, że organ nadzorczy nie uczestniczy w procesie opiniowania przyjętych rozwiązań.
Posłuchaj podcastu pt. „Transfer danych osobowych zgodnie z RODO – czyli jak?”, w którym eksperci Omni Modo opowiadają:
– Co oznacza „transfer” i „kraj trzeci”?
– Czy RODO ma zastosowanie do podmiotów spoza EOG?
– Czy są jakieś wyjątki „od państwa trzeciego”?
– Jak bezpiecznie transferować dane do USA?
– Sposoby transferu danych- zgody , obowiązki informacyjne
Posłuchaj klikając TUTAJ
Uzgodnienia administracyjne organów lub podmiotów publicznych
RODO przewiduje także narzędzie, którego zastosowanie ograniczone jest jedynie do organów lub podmiotów publicznych. Ciężar stworzenia i przyjęcia określonych rozwiązań spoczywa na wskazanych organach lub podmiotach. Dodatkowo, RODO również tutaj uzależnia możliwość skorzystania z tego rozwiązania od uzyskania zezwolenia od właściwego organu nadzorczego.
Wyjątki
Unijny ustawodawca przewidział kilka dodatkowych wyjątków, które mogą uratować legalność transferu. Są to:
- Wyraźna zgoda podmiotu danych. RODO dopuszcza możliwość zalegalizowania transferu danych poprzez pozyskanie wyraźnej zgody osoby, której dane dotyczą. Co ważne, zgoda musi być wyraźna. Nie można zatem jej domniemywać. Poza tym, przed jej pozyskaniem, administrator musi poinformować daną osobę o ewentualnym ryzyku związanym z brakiem decyzji KE oraz odpowiednich narzędzi transferu (art. 46 RODO).
- Umowa podmiotu danych z administratorem. Administrator może wyjątkowo zalegalizować transfer, jeżeli przekazanie danych jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub podjęcia kroków przed jej zawarciem, na żądanie podmiotu danych. Przesłanka ta może być bardzo przydatna w przypadku jednorazowych, drobnych transferów.
- Umowa w interesie podmiotu danych. Administrator może przekazać dane do państwa trzeciego, jeżeli jest to niezbędne do zawarcia lub wykonania umowy, zawartej w interesie osoby, której dane dotyczą. Podobnie, jak w poprzednim przypadku, przesłanka ta może być dość przydatna.
- Interes publiczny. Transfer danych osobowych może być niezbędny ze względu na ważne względy interesu publicznego. Przesłanka ta znajdzie zastosowanie głównie w kontekście działalności organów i podmiotów publicznych (np. międzynarodowe zwalczanie terroryzmu).
- Ustalenie, dochodzenie lub ochrona roszczeń. Przesłanka ta będzie pomocna administratorom, którzy zamierzają dochodzić roszczeń od podmiotu danych, a nie będzie to możliwe bez przekazania danych do państwa trzeciego.
- Ochrona żywotnych interesów podmiotu danych. RODO umożliwia zalegalizowanie transferu danych, jeżeli jego przeprowadzenie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, a osoba taka (lub osoby) są – fizycznie lub prawnie – niezdolne do wyrażenia zgody. Wydaje się, że przesłanka ta może mieć zastosowanie m.in. w trakcie akcji ratunkowych.
- Dane z rejestru. Możliwe jest również przekazywanie danych osobowych z rejestru, który służy za źródło informacji i jest ogólnodostępny dla obywateli. Znaczenie tej przesłanki jest marginalne, biorąc pod uwagę, że dostęp do większości takich rejestrów ma każdy użytkownik Internetu.
Co ciekawe, unijny prawodawca przewidział dodatkowy wyjątek, wiążący się z uzasadnionymi interesami realizowanymi przez administratora. Może on z niego skorzystać jedynie w przypadku, gdy nie ma możliwości zalegalizowania transferu, zarówno w oparciu o decyzję KE i rozwiązania z art. 46 RODO, ale również z wykorzystaniem ww. wyjątków.
Skorzystanie z tego swoistego dodatkowego wyjątku możliwe jest jedynie, gdy:
– przekazanie nie jest powtarzalne;
– dotyczy tylko ograniczonej liczby podmiotów danych;
– jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą;
– administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.
Administrator jest w takim przypadku zobowiązany do przekazania osobie, której dane dotyczą, stosownych informacji o transferze, jak również do powiadomienia o nim właściwego organu nadzorczego.